| Автор |
Сообщение |
Новости ®
Вольный ветер
Стаж: 19 лет 9 мес.
Сообщений: 6569
Ratio: 25.216
Поблагодарили: 13435
100%
|
В прошлый четверг исследователи MalwareHunter, которые стоят за сервисом ID-Ransomware, обнаружили новый вирус-вымогатель (ransomware) XData. Активность этого крипто-вымогателя пришлась на середину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Из 135 случаев инфицирования, которые были обнаружены на 19 мая текущего года, 95% случаев пришлось на украинских пользователей. (в реальности массштабы заражения намного выше)Если сравнивать темпы распространения вымогателя XData с нашумевшим WannaCry, то окажется, что в Украине он распространяется вчетверо быстрее (в ID-Ransomware зафиксировали только 30 пострадавших от WannaCry украинцев из 200 тыс. жертв по всему миру). WannaCry уже заразила сотни тысяч систем по всему миру, но если учесть текущий уровень распространения XData-инфекции в Украине, России и Германии, глобальное влияние XData значительно превосходит WannaCry. Зловред-вымогатель XData шифрует все файлы с помощью алгоритма AES, при этом рабочего способа расшифровки без оплаты выкупа пока не найдено. Злоумышленники запрашивают от 0,1 до 1 биткоина в зависимости от объема зашифрованных данных и того, пострадал отдельный компьютер или сеть компании. На данный момент курс биткоина составляет более $2100. После шифрования все файлы имеют расширение .~xdata~Вирус не меняет фон рабочего стола, не показывает уведомления, а лишь располагает в основных директориях текстовый файл How Can I Decrypt My Files.txt, объясняется, что чтобы расшифровать файлы необходимо отправить специальный ключ по одному из email-адресов. «Не волнуйтесь, если вы не можете найти файл ключи. В любом случае свяжитесь с поддержкой», — заботливо пишут злоумышленники.
| Цитата: | Your IMPORTANT FILES WERE ENCRYPTED on this computer: documents, databases, photos, videos, etc. Encryption was prodused using unique public key for this computer. To decrypt files, you need to obtain private key and special tool. To retrieve the private key and tool find your pc key file with '.key.~xdata~' extension. Depending on your operation system version and personal settings, you can find it in: 'C:/', 'C:/ProgramData', 'C:/Documents and Settings/All Users/Application Data', 'Your Desktop' folders (eg. 'C:/PC-TTT54M#45CD.key.~xdata~'). Then send it to one of following email addresses: begins@colocasia.orgbilbo@colocasia.orgfrodo@colocasia.orgtrevor@thwonderfulday.combob@thwonderfulday.combil@thwonderfulday.comYour ID: [PC-NAME]#[VICTIM_ID] Do not worry if you did not find key file, anyway contact for support. | Ваши важные файлы были зашифрованы на этом компьютере: документы, базы данных, фото, видео и т.д. Шифрование сделано с уникальным открытым ключом для этого компьютера. Чтобы расшифровать файлы, вам надо получить закрытый ключ и специальный инструмент. Чтобы получить закрытый ключ и инструмент, найдите ключевой файл вашего ПК с расширением '.key.~xdata~'. В зависимости от версии вашей операционной системы и личных настроек вы можете найти его в папках: 'C:/', 'C:/ProgramData', 'C:/Documents and settings/All Users/Application Data', 'Your Desktop' (напр. 'C:/PC-TTT54M#45CD.key.~xdata~'). Затем отправьте его на один из следующих email-адресов: beqins@colocasia.orgbilbo@colocasia.orgfrodo@colocasia.orgtrevor@thwonderfulday.combob@thwonderfulday.combil@thwonderfulday.comВаш ID: ****** Не беспокойтесь, если вы не нашли ключевой файл, обратитесь в службу поддержки. Отметим, что способ распространения и заражения компьютеров зловредом XData пока неизвестен, но скорее всего он попадает на компьютеры жертв путем фишинговых атак через электронные письма с зараженными вложениями, использование эксплойтов ОС, веб-инжектов, фальшивых рекламных ссылок, зараженных инсталляторов и т.д. Среди украинских пострадавших в основном компьютерные сети компаний. Файлы, подвергающихся шифрованию:Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware:msaddc.exe mscomrpc.exe msdcom.exe msdns.exe mssecsvc.exe mssql.exe HOW_CAN_I_DECRYPT_MY_FILES.txt .key.~xdata~ Расположения:C:/ C:/ProgramData C:/Documents and settings/All Users/Application Data /Desktop (в реальности известно что такие файлы остаются и во многих других папках, где были файлы и даже в пустых)Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: См. ниже результаты анализов. Результаты анализов: Гибридный анализ, VirusTotal анализ Источники: BleepingComputer, ain.ua, itc.ua, id-ransomware.blogspot.com, blog.emsisoft.comПолезные ссылки: ID Ransomware |
_________________ Включение указателя поворота заранее, действительно помогает другим водителям понять,
в каком направлении вы собираетесь двигаться, и делает вождение безопаснее для всех.
|
|
 |
Chypachyps13
Стаж: 14 лет
Сообщений: 58
Ratio: 84.865
Раздал: 26.01 TB
67.96%
|
Kalex писал(а):  | Chypachyps13 писал(а):  | Работу я храню на облачных дисках, при том не на одном, а на 3 сразу параллельно. |
Мониторинг изменений и синхронизация по умолчанию? Автоматическая? Или руками каждый файл забрасываете? Если автоматом, то намек ведь понят?  |
Данные синхронизируются на 2 пк, на рабочем и на домашнем, а вообще заморачиваться автоматизмом, я лично руками переношу все данные Добавлено спустя 13 минут 54 секунды: Alienist писал(а):  | Kalex писал(а):  | Chypachyps13 писал(а):  | Работу я храню на облачных дисках, при том не на одном, а на 3 сразу параллельно. |
Мониторинг изменений и синхронизация по умолчанию? Автоматическая? Или руками каждый файл забрасываете? Если автоматом, то намек ведь понят?  |
в гугле есть восстановление предыдущей версии файла и вообще xdata меняет расширение файла, т.е. создает новый файл, так что копии файлов в облаке могут остаться. Но не проверял |
В любом случае облако хранится на диске физически, а после уже на облако копируется, в случае удаления файла из папки One Drive в облаке файл так же удаляется. В случае с гуглом действительно можно достать данные удалённых файлов. Однако это не решение проблемы, если гуглдиск был забит на >50%, старые копии так же пользуются пространством диска, они будут перезаписаны новыми версиями файлов. Но в случае полноценного использования облака, все данные сохранятся на других пк, в случае если в момент заражения те пк были выключены. Особенность вируса кстати, он не лезет в папку windows, вообще. Теоретически можно в ней хранить сверх важные данные, пожалуй даже можно закинуть в неё облако. Либо регулярно делать точки восстановления системы, говорят вроде, что бекап помогает |
|
|
 |
S3rg31
Стаж: 11 лет
Сообщений: 567
Ratio: 19.581
Поблагодарили: 50480
100%
|
Александр Гайдуков писал(а):  | Что такое вирус?Я с 95 года ни разу не встречал! Вот когда антивирус ставил ради интереса он чото писал и пищал пришлось его снести и больше никогда не ставить!Проблема решена! |  |
|
|
 |
mag1595
Стаж: 15 лет 8 мес.
Сообщений: 91
Ratio: 4.853
2.16%
|
Chypachyps13 писал(а):  | Либо регулярно делать точки восстановления системы, говорят вроде, что бекап помогает |
Помогают .. Но ровно до тех пор, пока шифровальщик не обучить отключать службы до выполнения основного задания.. И успехи в обучении уже есть ..  Тут на сцену выходит "его Величество - Лох Обыкновенный" , которому с молоком матери не вколотили в головенку запрет сидеть в системе под root-том.. Ну а далее все все поняли ..  |
|
|
 |
Chypachyps13
Стаж: 14 лет
Сообщений: 58
Ratio: 84.865
Раздал: 26.01 TB
67.96%
|
mag1595 писал(а):  | Chypachyps13 писал(а):  | Либо регулярно делать точки восстановления системы, говорят вроде, что бекап помогает |
Помогают .. Но ровно до тех пор, пока шифровальщик не обучить отключать службы до выполнения основного задания.. И успехи в обучении уже есть ..  Тут на сцену выходит "его Величество - Лох Обыкновенный" , которому с молоком матери не вколотили в головенку запрет сидеть в системе под root-том.. Ну а далее все все поняли ..  |
Лоху обыкновенному ещё нужно понять как в системе, пользователя "администратор" найти. Но рабочий комп был обычным пользователем с лицензией каспера, на win7 pro x64. Ясен пень перед компом сидел тюлень обыкновенный который ничего не понял и позвонил мне со словами:" Влад, приедь, тут чё-то сломалось" Было бы конечно лучше будь система на home версии, там у пользователя прав меньше.... но я не думаю, что это, что-то изменило бы |
|
|
 |
mag1595
Стаж: 15 лет 8 мес.
Сообщений: 91
Ratio: 4.853
2.16%
|
Chypachyps13 писал(а):  | Было бы конечно лучше будь система на home версии, там у пользователя прав меньше.... но я не думаю, что это, что-то изменило бы |
Разумеется, не изменило бы ничего.. Ибо "тюлень" все равно бы сидел на Home-версии локальным админом. "Апатамушта" ему "никто не настраивал другова, а сам он - не вкурсе" ... |
|
|
 |
contramot10
Только чтение
Стаж: 14 лет 4 мес.
Сообщений: 123
Ratio: 5.345
10.46%
|
Шеф, всё пропало, заказал себе ,,Эльбрус,, - чёрт сними с деньгами, главное поддержать отечественный автопром. |
|
|
 |
XitrLIS
Стаж: 16 лет 8 мес.
Сообщений: 1528
Ratio: 5.109
100%
|
| Цитата: | Если включено теневое копирование можно восстановить 100 процентов инфы, или почти 100 процентов. Для этого годится даже простая служба Защиты системы. |
есть одна махенькая проблема  даные бяки удаляют файлы теневого копирования и затирают место на накопители много кратной записью | Цитата: | Ну я слышал про дыры в плагине flash, но я и так никогда не уставливал эту бесполезную вещицу, чтобы как то заразиться еще ничего не запуская не знаю, |
конкретно по не так давно озвучиному шифровальщику..там была дыра в ОС от микрософт про которую им твердили ещё с времён ХР !! и они её не желали закрывать пока не поднялся этот шум и да там не чего от пользователя не требовалась запускать ..данная дыра давала повышены прав=полный доступ | Цитата: | Если верить детективным фильмам и романам |
это где по айпи вычисляли адрес кафе  или пароль банка ломали сидя с тёлочкой за ноутбуком  |
|
|
 |
skol00
Стаж: 16 лет
Сообщений: 41
Ratio: 20.907
Поблагодарили: 27
100%
|
Великий и святой внешний HDD вам поможет. Присоединяйтесь к церкви Бекаперов. И да прибудет с вами святой Образ Тома. П.С.Не забудьте зараженный HDD прогнать методом Апостола Gutmann`а - путем 35 экзорцистких пасов |
|
|
 |
carbonoff
Стаж: 15 лет 7 мес.
Сообщений: 344
Ratio: 7.505
Поблагодарили: 6
7.34%
|
У америкосов скорее всего есть возможность расшифровать любой код а также вычислить любую деятельность в интернете. Так что если не вычислили то значит выгодно. |
_________________ Аляска будет наша.
|
|
 |
ElvenWanderer
Стаж: 11 лет 9 мес.
Сообщений: 127
Ratio: 36.061
67.86%
|
я кстати тоже когда-то пострадал от шифровальшика. но это был не наколенная поделка типа ванакрай или сабжа, а великий могучий one-half! эта штука шифровала не файлы, а весь диск целиком. причем делал он это медленно и не заметно (файлы читались без проблем). ну и за одно стебался над юзером выводя на экран разные фразы. а в зависимости от модификации, после того как диск был полностью зашифрован, вирус уничтожал ключ шифрования и передавал привет. это был 96 год кажись. дос все дела  |
|
|
 |
Shatoth
Стаж: 16 лет 9 мес.
Сообщений: 323
Ratio: 25.774
Раздал: 80.18 TB
Поблагодарили: 3
100%
Откуда: Кемерово
|
Нет кнопки "скачать" в этой раздаче) |
|
|
 |
ИгорьДух
Стаж: 13 лет 11 мес.
Сообщений: 783
Ratio: 5.695
Раздал: 2.061 TB
Поблагодарили: 5363
100%
|
skol00 писал(а):  | Великий и святой внешний HDD вам поможет. |
Это 100%! Пользуюсь внешними жестяками с 2008го года. Раз в 2 недели все туда сбрасываю и ежедневно практически сбрасывают в облако все что за день делал. И пусть себе блокирует хоть до посинения. Кстати винду давно не переустанавливал. Так что пусть блокирует, будет повод переустановить... |
|
|
 |
Flying_cat
Стаж: 15 лет 3 мес.
Сообщений: 130
Ratio: 11.592
100%
Откуда: СССР
|
andrew.privalov писал(а):  | mesergal писал(а):  | Сегодня на работе это чудо похе...л все данные. |
Все люди делятся на два типа: Первый - те, кто делает резервные копии. Второй - те, кто БУДЕТ делать резервные копии. Вариантов закрыть от шифрования резервные копии - море. Например, монтируем диск перед резервным копированием, размонтируем после окончания копирования. Все с командной строки в астомате по расписанию. А что бы защититься от такой глупости, как вири в почте - заблокировать запуск ЛЮБЫХ программ из темповых папок (винды и браузера). За несколько последних лет, в нескольких десятках клиентов ни одного шифровальщика. Проблема, только с бухами со СБИС++, который обновляется (через темп), чуть ли не каждый запуск Добавлено спустя 1 минуту 48 секунд: shoni13 писал(а):  | Я что-то не понял, злодей шифрует только диск С или все физические диски какие есть? |
Последние шифровальщики шифруют все, до чего дотягиваются. Сетевые папки тоже. |
Бэкапный сервер на Линуксе. Копируем данные по SSH. Всё. |
|
|
 |
umart77
Стаж: 14 лет 7 мес.
Сообщений: 11
Ratio: 68.479
100%
Откуда: СССР
|
Linux. С 2007 года. Нет ни вирусов, не антивирусов. Лазаю везде где можно и где нельзя. Исполняемый флаг на скачанные не пойми откуда файлы не ставлю. Под рутом, без необходимости, не работаю. Все мне необходимое работает: браузеры, мессенджеры, другой разнообразный софт. Обновления из репозитариев регулярное, по мере их выхода. Судя по комментариях, у меня сложилось мнение, что некоторые "товарищи" акцентируют внимание и высказывают мнения по ОpenSource, основанные на своей некомпетенности или сидящие на зарплате у Майкрософт. Никого никуда не призываю переходить. Каждый достойн той системы, на которой у него нет проблем. Но все равно, ОС Windows - это дырка от бублика. В смысле дыра, которую никогда не залатают. Потому что нельзя исправить то, что изначально и заботливо кем то криво написано. Специально или нет, это вопрос второй. И да, Linux - это наиболее защищенная по дефолту операционная система, в которой вирусы попросту не работают. Можно конечно сильно поднапрячься и их запустить, но кому это нужно) |
|
|
 |
Free.Artist
Стаж: 15 лет 10 мес.
Сообщений: 195
Ratio: 267.838
Поблагодарили: 1
100%
Откуда: Остров Крым
|
Kalex писал(а):  | Free.Artist По ссылкам в новости не пробовали кликать? |
В новостях и ссылках пишут, что кому привидится. А интересно "живое" общение: может кто-нибудь реально с этим работает или сталкивался. |
|
|
 |
|
|
|